Entendendo a Importância dos SBOMs no Desenvolvimento de Software
SBOMs são essenciais pra acompanhar componentes de software e melhorar a segurança.
― 5 min ler
Índice
As Faturas de Materiais de Software (SBOMs) são ferramentas importantes para gerenciar software. Elas ajudam a rastrear componentes de software, suas licenças e quaisquer vulnerabilidades. Com o aumento do software de código aberto, a cadeia de suprimentos de software ficou mais complexa. Os desenvolvedores agora podem usar vários pacotes e bibliotecas para construir seus produtos. No entanto, isso traz riscos, especialmente se um pacote tiver problemas de segurança. Um SBOM atua como uma lista detalhada de todas as partes que compõem uma aplicação de software, mostrando o que foi usado para criá-la.
A Ascensão dos SBOMs
Nos últimos anos, mais atenção tem sido dada aos SBOMs. O governo dos EUA, por exemplo, tornou obrigatório que o software vendido a eles inclua um SBOM. Essa medida foi influenciada por várias violações de segurança que destacaram a necessidade de melhor supervisão e transparência nas cadeias de suprimentos de software. Organizações como a Linux Foundation e a OWASP também têm promovido os SBOMs para melhorar a segurança do software.
Apesar do crescente interesse, muitas organizações ainda não adotaram totalmente os SBOMs. Pesquisas mostram que, embora os benefícios sejam reconhecidos, desafios práticos ainda impedem o uso generalizado. Esses desafios incluem ferramentas limitadas para criar SBOMs e a falta de um acordo na indústria sobre quais informações devem ser incluídas.
O Estudo dos Desafios dos SBOMs
Para entender melhor os desafios enfrentados por diferentes partes interessadas em relação aos SBOMs, foi realizado um estudo que envolveu a pesquisa e entrevistas com desenvolvedores de software e especialistas. O objetivo era descobrir os obstáculos específicos que eles enfrentam e reunir insights sobre como superá-los.
Quem Foi Pesquisado?
O estudo entrevistou 138 pessoas de cinco grupos diferentes:
- Profissionais familiarizados com SBOMs
- Membros de importantes projetos de código aberto
- Especialistas em inteligência artificial e aprendizado de máquina
- Especialistas em sistemas ciberfísicos
- Profissionais do direito
Esses grupos foram escolhidos para destacar diferentes necessidades e perspectivas sobre os SBOMs. Além disso, entrevistas com oito participantes ajudaram a obter insights mais ricos sobre suas experiências e pontos de vista.
Desafios Principais Identificados
A partir da pesquisa, doze desafios significativos foram identificados, como:
- Complexidade do Conteúdo: As informações incluídas nos SBOMs podem ser opressivas, especialmente para quem só precisa de detalhes específicos.
- Limitações das Ferramentas: Muitas ferramentas existentes não suportam totalmente a criação ou manutenção de SBOM, dificultando a adoção pelos desenvolvedores.
- Atualização de SBOMs: À medida que o software muda, os SBOMs também precisam ser atualizados, o que muitas vezes não acontece de forma eficaz.
- Questões Específicas de Domínio: Diferentes áreas de desenvolvimento de software podem ter requisitos únicos que não estão sendo atendidos atualmente.
- Conformidade com Licenças: Garantir que todos os componentes estejam em conformidade com suas respectivas licenças pode ser complicado.
- Rastreamento de Vulnerabilidades: Rastrear vulnerabilidades de segurança em vários componentes é um problema persistente.
Soluções Propostas
À luz desses desafios, o estudo também explorou possíveis soluções:
- Simplificar Especificações: Dividir os requisitos do SBOM com base em casos de uso específicos pode ajudar a agilizar o processo.
- Melhorar Ferramentas: Ferramentas mais avançadas e amigáveis, adaptadas para diferentes linguagens de programação, podem melhorar a criação de SBOM.
- Recursos Centralizados: Criar repositórios centralizados onde os desenvolvedores podem encontrar as ferramentas e suporte certos para a geração de SBOMs pode aumentar a adoção.
Os Benefícios dos SBOMs
Apesar dos desafios, os benefícios dos SBOMs são claros. Eles oferecem várias vantagens que podem melhorar o desenvolvimento de software, incluindo:
- Visibilidade: Ter um esboço claro de todos os componentes em um produto de software ajuda a entender sua estrutura e dependências.
- Gerenciamento de Licenças: SBOMs podem facilitar a conformidade com requisitos de licenciamento, reduzindo riscos legais.
- Melhorias de Segurança: Ao rastrear vulnerabilidades por meio de SBOMs, as organizações podem rapidamente resolver problemas de segurança antes que afetem os clientes.
- Fomentar Confiança: Com cadeias de suprimentos transparentes, os usuários podem ter mais confiança no software que usam.
Conclusão
À medida que o software continua a evoluir, a importância dos SBOMs só aumentará. Embora haja desafios notáveis em sua adoção e uso, entender essas questões prepara o terreno para avanços que podem tornar os SBOMs mais eficazes e amigáveis. Através da colaboração entre indústrias e do desenvolvimento contínuo de melhores ferramentas e padrões, o potencial dos SBOMs para melhorar a segurança e a confiabilidade do software pode ser plenamente realizado.
Título: BOMs Away! Inside the Minds of Stakeholders: A Comprehensive Study of Bills of Materials for Software Systems
Resumo: Software Bills of Materials (SBOMs) have emerged as tools to facilitate the management of software dependencies, vulnerabilities, licenses, and the supply chain. While significant effort has been devoted to increasing SBOM awareness and developing SBOM formats and tools, recent studies have shown that SBOMs are still an early technology not yet adequately adopted in practice. Expanding on previous research, this paper reports a comprehensive study that investigates the current challenges stakeholders encounter when creating and using SBOMs. The study surveyed 138 practitioners belonging to five stakeholder groups (practitioners familiar with SBOMs, members of critical open source projects, AI/ML, cyber-physical systems, and legal practitioners) using differentiated questionnaires, and interviewed 8 survey respondents to gather further insights about their experience. We identified 12 major challenges facing the creation and use of SBOMs, including those related to the SBOM content, deficiencies in SBOM tools, SBOM maintenance and verification, and domain-specific challenges. We propose and discuss 4 actionable solutions to the identified challenges and present the major avenues for future research and development.
Autores: Trevor Stalnaker, Nathan Wintersgill, Oscar Chaparro, Massimiliano Di Penta, Daniel M German, Denys Poshyvanyk
Última atualização: 2023-09-22 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2309.12206
Fonte PDF: https://arxiv.org/pdf/2309.12206
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.
Ligações de referência
- https://docs.google.com/spreadsheets/d/1uA0NbZs4Acq5thibCLXyoBFBG92pgYfUaQPfKM6idd0/edit
- https://docs.google.com/document/d/1U9ADP4W4omBIH4pN
- https://wiki.spdx.org/view/Technical_Team/Use_Cases/2.0
- https://tinyurl.com/25r3rpcn
- https://www.overleaf.com/project/63d7ea8ea229efadf2a17d3a
- https://cyclonedx.org/about/history/
- https://www.iana.org/assignments/uri-schemes/prov/gitoid
- https://lists.openchainproject.org/g/main
- https://owasp.org/
- https://www.softwareheritage.org/
- https://spdx.dev/about/
- https://www.linuxfoundation.org/
- https://csrc.nist.gov/projects/cyber-supply-chain-risk-management
- https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
- https://www.redhat.com/en/topics/security/what-is-cve
- https://spdx.github.io/spdx-spec/v2.3/external-repository-identifiers/
- https://csrc.nist.gov/Projects/Security-Content-Automation-Protocol/Specifications/cpe
- https://docs.github.com/en/rest?apiVersion=2022-11-28
- https://docs.anchore.com/current/docs/sbom_management/sbom_drift/
- https://github.com/CycloneDX/specification
- https://github.blog/2023-03-28-introducing-self-service-sboms/
- https://www.itic.org/
- https://github.com/package-url/purl-spec
- https://spdx.dev/specifications/
- https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph
- https://anchore.com/platform/
- https://anonymous.4open.science/r/boms_away_study-2133/
- https://creativecommons.org/publicdomain/zero/1.0/
- https://dvc.org/
- https://opensource.org/license/mit/
- https://mlflow.org/
- https://www.qualtrics.com/
- https://www.nexb.com/scancode/
- https://spdx.org/rdf/spdx-terms-v2.1/objectproperties/dataLicense___1140128580.html
- https://lists.spdx.org/g/spdx
- https://uefi.org/sites/default/files/resources/Traceable
- https://euhubs4data.eu/blog/securing-iot-device-with-fboms/
- https://billbensing.com/software-supply-chain/history-software-bill-of-material-sbom/
- https://minddata.org/bill-of-artificial-intelligence-materials-boaim-Brian-Ka-Chan-AI
- https://www.bleepingcomputer.com/news/security/ten-malicious-libraries-found-on-pypi-python-package-index/
- https://cloudsecurityalliance.org/artifacts/saas-governance-best-practices-for-cloud-customers/
- https://github.com/CycloneDX/bom-examples/tree/master/HBOM
- https://github.com/CycloneDX/bom-examples/tree/master/OBOM
- https://github.com/CycloneDX/bom-examples/tree/master/SaaSBOM
- https://cyclonedx.org/capabilities/
- https://doi.org/10.1145/1806799.1806824
- https://thestack.technology/firmware-attacks-focus/
- https://doi.org/10.1109/MSEC.2022.3142338
- https://huggingface.co/docs/hub/datasets-cards
- https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
- https://www.guardrails.io/blog/what-is-a-software-bill-of-materials-and-why-is-it-important-for-security/
- https://www.ietf.org/archive/id/draft-ietf-sacm-coswid-19.html
- https://www.iso.org/standard/81870.html
- https://www.iso.org/standard/65666.html
- https://cds.cern.ch/record/2778929/files/Laman_Jalilova_CERN_Report.pdf
- https://www.eetimes.com/quantifying-complexity-the-challenges-of-supply-chain-security/
- https://www.reversinglabs.com/blog/5-reasons-why-you-need-a-saasbom
- https://thenewstack.io/fast-and-furious-doubling-down-on-sbom-drift/
- https://thehackernews.com/2022/11/researchers-uncover-29-malicious-pypi.html
- https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html
- https://thehackernews.com/2022/09/malicious-npm-package-caught-mimicking.html
- https://thehackernews.com/2022/06/multiple-backdoored-python-libraries.html
- https://thehackernews.com/2022/11/researchers-uncover-pypi-package-hiding.html
- https://hbr.org/1975/09/behind-the-growth-in-materials-requirements-planning
- https://nvd.nist.gov/vuln/detail/CVE-2021-44228
- https://ntia.gov/files/ntia/publications/framingsbom_20191112.pdf
- https://ntia.gov/files/ntia/publications/ntia_sbom_use_cases_roles_benefits-nov2019.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_at_a_glance_apr2021.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_myths_vs_facts_nov2021.pdf
- https://ntia.gov/files/ntia/publications/ntia_sbom_tooling_taxonomy-2021mar30.pdf
- https://www.ntia.gov/files/ntia/publications/ntia_sbom_sharing_exchanging_sboms-10feb2021.pdf
- https://ntia.gov/sites/default/files/publications/uscc_-_2021.06.17_0.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_formats_survey-version-2021.pdf
- https://openai.com/blog/chatgpt
- https://docs.google.com/spreadsheets/d/1ONZ4qeMq8xmeCHX03lIgIYE4MEXVfVL6oj05lbuXTDM/edit
- https://cds.cern.ch/record/2826626/files/Report-PRATOUSSY_Martin.pdf
- https://www.rezilion.com/blog/dynamic-sbom-a-comprehensive-guide/
- https://www.securityweek.com/big-tech-vendors-object-us-gov-sbom-mandate/
- https://www.leanix.net/en/blog/sboms-matter
- https://tinyurl.com/yvsfdxd9
- https://doi.org/10.1145/3180155.3180209
- https://techpost.bsa.org/2022/08/31/sboms-considerable-progress-but-not-yet-ready-for-codification/